چه پسوردی خوبه؟

اینکه بدونید هکر‌ها از چه روش‌هایی برای دستیابی به کلمه‌عبور شما استفاده می‌کنند، به شما کمک خواهد کرد تا در آینده کلمه‌عبور‌های مطمعن‌تری انتخاب کنید. برای دستیابی به کلمه عبور یک فرد چندین روش مختلف وجود داره،

1. اولین و کوتاه‌ترین راه، حدس زدن هستش: خودتون رو بجای یک هکر بگذارید که می‌خواید آدرس ایمیل من رو هک کنید،طبیعیه که این احتمال وجود داشته باشه که من پسورد خودم رو چیزی مثل: HesamEsfahlani، HesamEsfahlani64، Hesam64Esfahlani، یا اگر بخوام دیگه خیلی سختش بکنم از کاراکتر‌ههای مختلفی هم استفاده می‌کنم مثلHesam64Esfahlani* یا استفاده از علامت $ بجای حرف s، این دقیقا همون کاریه که خیلی از ماها داریم انجامش می‌دیم. مگه نه؟

2. دومین روش مهندسی اجتماعی هستش: توی این روش هکر خیلی ساده از خود قربانی سؤال می‌کنه که پسوردت چیه؟ و قربانی هم خیلی خیلی ساده پسوردش رو به هکر میگه. برای خرید به یکی از فروشگاه‌های سطح شهر می‌رید و برای پرداخت کارت می‌کشید، فروشنده از شما سؤال می‌کنه که رمز کارتتون؟ و شما هم بدون اینکه شک کنید رمز کارتتون رو می‌گید. چند روز بعد متوجه می‌شید که مبالغی بدون دلیل از حسابتون کسر شده. این مشکل برای هزاران نفر از مردم ایران در سال‌های اخیر پیش اومده. یا تلفن شما زنگ میخوره و تماس گیرنده به شما میگه که من از طرف بانک تماس میگیرم و شما برنده قرعه کشی شدید و باید مبلغ جایزه به حساب شما واریز بشه اما برای اینکار باید شماره کارت و رمز عبور شما رو بدونه!

3. روش دیگری که هکرها برای بدست آوردن کلمه عبور بکار می‌برند استفاده از دیکشنری هستش، این اصلی‌ترین روشی هستش که توی این برنامه می‌خوام در موردش به شما توضیح بدم:

یک روز صبح که از خواب بیدار میشید متوجه میشید که دیگه به حساب کاربری اینستاگرام خودتون دسترسی ندارید و یک ایمیل هم برای شما ارسال شده که اگر فلان قدر پول به ما بدی پسورد جدید اینستاگرامت رو بهت میدیم. بله، وقتی شما در خواب ناز بودید هک شدید. اما چطور ممکنه؟

هکر‌های خیلی خیلی خفن و قدیمی تمام انرژی و وقت خودشون رو میذارن برای هک کردن خود سرورهای یاهو و فیسبوک. اونها اطلاعات کاربران رو از یاهو میدزدند و در شبکه‌های هکرها به فروش می‌رسونن. مثلاً در این شیکه‌ها اعلام می‌کنن که ما اطلاعات دو میلیون کاربر یاهو رو در مقابل صد دلار می‌فروشیم. هکرهای دیگه هم این اطلاعات را خریداری می‌کنن و حتی خیلی وقت‌ها بشکل رایگان روی سایت خودشون برای استفاده دیگران قرار میدن. اما این اطلاعات چیه و به چه درد هکر‌ها می‌خوره؟ توی این فایل نوشته که کاربری که نام کاربریش hesamesfahlani و ایمیلش hesam@esfahlani.com هستش، پسوردش اینه: و الا آخر تا اطلاعات تمام دو میلیون کاربر.

سوال: چند درصد از مردم جهان، پسورد ایمیلشون با پسورد اینستاگرامشون یکیه؟ پسورد ایمیلشون با پسورد فیسبوک و سایر شبکه‌های اجتماعیشون یکیه؟ پس عملاً وقتی من ایمیل شما و یا هریک از حساب‌های کاربری شمارو هک کنم، خیلی راحت به تمامی اطلاعات شما توی اینترنت دسترسی دارم!

یکی از نرم‌افزار‌های محبوب هکر‌ها نرم‌افزار John the Ripper هستش، این نرم‌افزار رایگان روی اینترنت هستش و کارش هم اینه که شما میخواید ببینید پسورد کاربر hesamesfahlani توی اینستاگرام چیه؟ وارد نرم‌افزار John the Ripper میشید. بهش میگید که بگرده ببینه کاربر hesamesfahlani آیا داخل اون لیست پسورد‌های یاهو هست یا نه. اگر پسورد یاهو و اینستاگرام من یکی باشه همون اول هکر‌ها به اطلاعات من توی اینستاگرام دست پیدا می‌کنند.

خب یه جمع‌بندی بکنم تا بریم سراغ سؤال اصلی خودمون که چه پسوردی خوبه؟ اول اینکه خیلی از پسوردها یه ارتباطی با‌شخصیت خود ما دارند: مثل استفاده از اسم و فامیل بجای کلمه عبور. دوم اینکه خیلی‌ها از کلمه‌های عبور مشترک برای تمامی سرویس‌های اینترنتی استفاده می‌کنن.

1. اولین نکته‌ برای یک کلمه عبور مناسب این هستش که تکراری نباشه و این پسورد رو در جای دیگری ازش استفاده نکرده باشید. چون اون وقت با استفاده از نرم‌افزار John the Ripper خیلی راحت هک می‌شید

2. بیشتراز ۱۶ کاراکتر باشد

3. حتماً از کاراکتر‌های خاص مانند @ # % $ استفاده شده باشد

4. هیچ ارتباطی هم با‌شخصیت ما نداشته باشه.

خب خود من هم می‌دونم که حفض کردن ده تا کلمه عبور مختلف که هرکدوم هم بیشتر از ۱۶ کاراکتر دارند عملاً نشدنیه! از طرفی محققان متوجه شدند که مغز انسان همواره به دنبال Pattern یا ارتباط میان حروف می‌گرده پس ما هرچقدر هم تلاش کنیم نمی‌تونیم از خودمون و کلمه‌های عبورمون تو فضای مجازی محافظت کنیم.

راه حل خیلی ساده است. اگر شما گوشیتون اندرویدیه به گوگل‌پلی و اگر آیفون دارید به آیتیونز برید و در بخش جستجو عبارت Password Manager رو جستجو کنید. می‌بینید که کلی نرم‌افزار هست که اونها کار حفظ کردن تمام کلمه‌های عبور و حتی پ‍یشنهاد دادن یک کلمه عبور مناسب رو برای شما انجام میدن.

برای کاربران عادی و کاربران خانگی نرم‌افزار Pocket می‌تونه برای شروع مناسب باشه. اما اگر به دنبال نرم‌افزار حرفه‌ای تر که رمزنگاری هم شده باشه هستید، می‌تونم نرم‌افزار KeePass رو بهتون پیشنهاد کنم.

در انتها به عنوان یک کارشناس نرم‌افزار و محقق در زمینه امنیت سایبری بهتون پیشنهاد می‌کنم تا کمی هوشمندانه تر و با چشم باز در فضای مجازی قدم بردارید.